Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Security by default

Concepten

Aanduiding dat de maker of leverancier van een product ervoor zorgt het dat product standaard veilig is ingesteld. Degene die het product koopt of in gebruik neemt kan daar zelf wijzigingen in aanbrengen. Dit is in tegenstelling tot de situatie waarin een maker of leverancier van een product weinig of niks aan beveiliging doet. Degene die het product koopt of in gebruikt neemt is er dan helemaal zelf verantwoordelijk voor om het veilig in te stellen.

Security by default betekent dat systemen, software en apparaten standaard worden geleverd met de veiligste configuratie, zonder dat de gebruiker hiervoor actie hoeft te ondernemen. Onnodige diensten zijn uitgeschakeld, standaardwachtwoorden zijn niet ingesteld of verplicht te wijzigen, toegangsrechten zijn minimaal geconfigureerd en versleuteling is geactiveerd. Het principe gaat uit van de realiteit dat de meeste gebruikers instellingen niet aanpassen na installatie. Door de veilige optie tot de standaard te maken, bescherm je het overgrote deel van de gebruikers automatisch. Security by default is nauw verwant aan security by design, maar richt zich specifiek op de standaardconfiguratie bij uitlevering in plaats van het volledige ontwerpproces.

Waarom is security by default belangrijk?

De meerderheid van succesvolle cyberaanvallen maakt misbruik van standaardconfiguraties die onveilig zijn. Standaardwachtwoorden op routers, open poorten op servers, onnodige services die draaien op verse installaties en te ruime toegangsrechten na initiële setup zijn allemaal voorbeelden van insecure defaults die aanvallers structureel uitbuiten. Een product dat security by default volgt, elimineert deze risico's voordat de gebruiker het systeem in gebruik neemt.

NIS2 heeft security by default en security by design tot wettelijke verplichting gemaakt voor organisaties in essentiële en belangrijke sectoren. Artikel 21 van de richtlijn vereist expliciet dat organisaties secure by design-methodologieën adopteren en dat beveiliging geen optioneel toevoegsel is, maar een fundamenteel onderdeel van producten en diensten. De EU Cyber Resilience Act stelt daarnaast specifieke eisen aan fabrikanten van digitale producten om security by default te implementeren en gedurende de volledige levenscyclus van het product te onderhouden.

Voor Nederlandse organisaties betekent dit een verschuiving in verantwoordelijkheid. Waar voorheen de gebruiker verantwoordelijk was voor het beveiligen van aangeschafte systemen, verschuift de verantwoordelijkheid steeds meer naar de fabrikant om producten veilig af te leveren. Dit heeft directe gevolgen voor softwareontwikkelaars, hardwarefabrikanten en dienstverleners die producten leveren aan organisaties die onder NIS2 of de Cyber Resilience Act vallen.

Het principe bespaart daarnaast aanzienlijke tijd en kosten. Organisaties die producten inzetten die security by default volgen, hoeven minder tijd te besteden aan hardening, het aanpassen van standaardconfiguraties en het dichten van beveiligingsgaten die door onveilige defaults zijn ontstaan. Dit is bijzonder relevant voor MKB-organisaties die vaak niet de expertise of capaciteit hebben om uitgebreide hardening-procedures uit te voeren op elk systeem en apparaat dat ze in gebruik nemen.

Hoe pas je security by default toe?

Bij softwareontwikkeling betekent security by default dat je elke functie die een beveiligingsrisico kan vormen standaard uitschakelt. Gebruikers die de functie nodig hebben, moeten deze bewust activeren (opt-in in plaats van opt-out). Concreet houdt dit in dat je standaard de sterkste authenticatiemethode aanbiedt, multi-factor authenticatie activeert bij eerste gebruik, versleuteling standaard inschakelt voor opgeslagen en verzonden data, logging standaard aanzet voor beveiligingsrelevante gebeurtenissen en het principe van least privilege toepast bij het aanmaken van gebruikersaccounts en serviceaccounts.

Bij infrastructuur en systemen pas je security by default toe door hardening-baselines te definiëren die als standaard gelden voor elke nieuwe installatie. Gebruik frameworks zoals de CIS Benchmarks als uitgangspunt. Deze bieden gedetailleerde configuratiegidsen per besturingssysteem, database en applicatie die specifiek zijn ontworpen om de veiligste standaardconfiguratie te bereiken zonder de functionaliteit te beperken. Automatiseer het toepassen van deze baselines via configuratiebeheer-tools zoals Ansible, Puppet of Terraform, zodat elke nieuwe server, workstation of container consistent en veilig wordt geconfigureerd.

Bij het selecteren van leveranciers en producten beoordeel je of een product security by default volgt. Vraag leveranciers naar hun standaardconfiguratie: worden standaardwachtwoorden gebruikt? Welke services draaien out-of-the-box? Is versleuteling standaard actief? Hoe zijn de standaard-toegangsrechten geconfigureerd? Producten die niet aan security by default voldoen, vereisen extra investering in hardening en verhogen het risico op misconfiguratie, wat een belangrijk selectiecriterium hoort te zijn bij de risicobeoordeling van nieuwe aanschaffingen.

Documenteer je security by default-beleid en maak het onderdeel van je ontwikkel- en inkoopprocessen. Definieer minimale beveiligingseisen die producten moeten hebben voordat ze in productie worden genomen. Voer configuratie-audits uit om te verifiëren dat systemen daadwerkelijk voldoen aan de vastgestelde baselines en dat geen ongeautoriseerde wijzigingen zijn aangebracht. Afwijkingen moeten worden gedocumenteerd, goedgekeurd door een verantwoordelijke en periodiek herbeoordeeld om te voorkomen dat tijdelijke uitzonderingen de nieuwe standaard worden.

Security by default in de praktijk

Een herkenbaar voorbeeld is een organisatie die een nieuwe cloudinfrastructuur opzet. Bij een security by default-aanpak zijn alle storage buckets standaard privaat (niet publiek toegankelijk), is netwerkverkeer standaard geblokkeerd tenzij expliciet toegestaan via beveiligingsgroepen, zijn alle API-calls gelogd en is versleuteling at rest en in transit standaard geactiveerd. De beheerder hoeft deze instellingen niet handmatig te configureren; ze zijn de standaard bij het aanmaken van resources.

Vergelijk dit met de traditionele aanpak waarbij een verse cloud-omgeving open staat en de beheerder zelf verantwoordelijk is voor het dichtdraaien. In de praktijk worden stappen overgeslagen, worden tijdelijke uitzonderingen permanent en ontstaan beveiligingsgaten die lang onopgemerkt blijven. De reeks datalekken veroorzaakt door openstaande S3-buckets en onbeveiligde databases bij grote bedrijven illustreert de concrete gevolgen van het ontbreken van security by default bij cloudplatforms.

Een ander voorbeeld is de uitrol van IoT-apparaten in een bedrijfsomgeving. Apparaten die security by default volgen, vereisen het instellen van een specifiek wachtwoord bij eerste gebruik, communiceren uitsluitend via versleutelde verbindingen en ontvangen automatisch beveiligingsupdates. Apparaten die dit niet doen, worden regelmatig doelwit van botnets zoals Mirai en vormen een toegangspunt tot het bedrijfsnetwerk voor aanvallers die bekende standaardwachtwoorden proberen.

Veelgestelde vragen over security by default

Wat is het verschil tussen security by design en security by default?

Security by design betekent dat beveiliging wordt meegenomen gedurende het volledige ontwerp- en ontwikkelproces. Security by default richt zich specifiek op de standaardconfiguratie: het product is bij uitlevering veilig geconfigureerd zonder dat de gebruiker iets hoeft aan te passen. Beide principes vullen elkaar aan en worden samen vereist door NIS2.

Is security by default verplicht onder NIS2?

Ja, NIS2 vereist dat organisaties security by design en security by default toepassen als onderdeel van hun risicobeheermaatregelen. Dit geldt voor zowel eigen ontwikkelde als aangeschafte systemen en software die kritieke diensten ondersteunen.

Hoe controleer ik of een product security by default volgt?

Evalueer de standaardconfiguratie na installatie. Zijn standaardwachtwoorden afwezig of verplicht te wijzigen? Draait er geen onnodige software? Is versleuteling standaard actief? Is de toegang minimaal geconfigureerd? Gebruik CIS Benchmarks als referentiekader voor een objectieve beoordeling van de standaardconfiguratie.

Maakt security by default hardening overbodig?

Niet volledig, maar het vermindert de benodigde inspanning drastisch. Een product dat security by default volgt, vereist minder aanpassingen na installatie. Organisatiespecifieke eisen, zoals integratie met specifieke authenticatiesystemen of branchespecifieke compliance-vereisten, vereisen nog steeds aanvullende configuratie bovenop de standaard.

Hoe begin ik met security by default in mijn organisatie?

Start met het opstellen van hardening-baselines op basis van CIS Benchmarks voor je meest gebruikte systemen. Automatiseer het toepassen ervan via configuratiebeheer. Neem security by default op als eis in je inkoopbeleid en beoordeel nieuwe producten expliciet op hun standaardconfiguratie voordat je ze aanschaft.

Meer weten over beveiligingsbeleid? Bekijk Governance Risk Compliance aanbieders op IBgidsNL.